日本におけるサプライチェーンセキュリティインシデント調査レポート「サプライチェーンリスクジャパンレポート2022」を公開

パロアルトネットワークス株式会社
2022年08月04日

パロアルトネットワークス株式会社
6割超でサプライチェーンに起因したインシデントを経験。重要インフラや製造業を中心に現実味を帯びるサプライチェーンリスクの脅威

世界的なサイバーセキュリティのリーダー企業であるパロアルトネットワークス株式会社（本社：東京都千代田区、代表取締役会長兼社長：アリイ・ヒロシ、以下パロアルトネットワークス）は、この度、国内の民間企業、官公庁・自治体などのセキュリティ意思決定者を対象に調査を実施し、詳細データに基づく分析結果を「サプライチェーンリスクジャパンレポート2022」として公開いたしました。

背景と目的

DXによるIT環境の変化に加え、パンデミックや地政学リスクなど社会環境の変化によりサイバーリスクも多様化する中で、IPA(独立行政法人　情報処理推進機構）発表の「情報セキュリティ10大脅威2022」(*1)で、組織の脅威として「サプライチェーンの弱点を悪用した攻撃」が前年の4位から3位に脅威ランクが引き上げられたことからも、近年セキュリティ領域においてサプライチェーンリスクへの懸念は日本でも高まっています。

パロアルトネットワークスは、国内企業を取り巻くサプライチェーンセキュリティリスクによる事業・組織運営への影響および対策上講ずべき課題を把握する目的で日本市場に特化した広範囲な調査を実施し、詳細なデータを分析いたしました。

調査結果サマリー

重要インフラや製造を中心に63％がサプライチェーンセキュリティインシデントを経験
特に、水道・ガス・電力をはじめとする重要インフラや製造業でのインシデント発生率は高く、コロナ禍で加速したデジタル化やリモートワークといったビジネスニーズの変化、自由化による産業構造の変化などを背景に、サプライチェーンリスクが増大していることが考えられます。個人情報漏えい(26％)、機密情報漏えい(22％)、システム障害(20％)が被害内容の上位となっており、情報漏えい時の通知義務、知的財産の保護や重要インフラの安定稼働を目的とした近年の法改正等の必要性を一層鮮明にしています。

サプライチェーンリスクへの対策上の最大の課題は「可視性と強制力の欠如」
「すべてのサプライチェーンを把握しきれない(28％)」「すべてのIT資産を可視化しきれない(25％)」が、それぞれ対策上の課題の1位、3位となっており、取引先から下請業者に至るステークホルダーや、ビジネス部門が主幹のクラウドインスタンスからソフトウェアコンポーネントに至るIT資産が無数に存在する中で、その存在を把握すること自体が困難な現実が浮き彫りになっています。また、「取引先に対策を強制できない(26％)」が課題の2位となっており、サプライチェーン全体で一貫したセキュリティレベルを担保することが難しい状況も明らかになっています。

リスク認識は高まる一方で、進まない「可視性と実効性を高める具体策」
業種を問わず全体の81％がサプライチェーンリスクが近年深刻になったと認識し、2021年度には86％が対策を実施しています。「サプライチェーン向け注意喚起の実施（41％）」「自組織の従業員向けの注意喚起の実施（41％）」「サプライチェーン向けセキュリティガイドラインの整備・見直し（29％）」と机上での施策が上位を占める一方、「アタックサーフェスマネジメント（11％）」「ゼロトラスト戦略の検討・採用（15％）」などの施策の実施率は低い結果となりました。リスク緩和を可能にする可視性や実効性を高める技術的な具体策への着手が、サプライチェーンリスク対策においても急務と言えます。

また、本調査の結果を受けて、パロアルトネットワークスチーフサイバーセキュリティストラテジスト染谷征良は以下の通り話しています。「サプライチェーンに関連するセキュリティリスクは既に現実のものとなっています。自組織としての経営責任・説明責任が果たせる取り組みが一層重要になるとともに、サプライチェーンを構成する組織の1つ1つがその役割を果たす必要性が改めて問われています。」

今日、サプライチェーンセキュリティリスクは多くの組織にとって現実的な課題となっています。グローバルなサイバーセキュリティのリーダーであるパロアルトネットワークスは、顧客の皆様のパートナーとして、デジタル時代における信頼性を維持しビジネスの成長に引き続き尽力して参ります。

「パロアルトネットワークスサプライチェーンリスクジャパンレポート2022」は、以下サイトからダウンロードいただけます。
https://www.paloaltonetworks.jp/resources/research/supply-chain-risk-survey-2022

サプライチェーンリスクとその対策を解説した「サプライチェーンを取り巻くセキュリティリスクの謎を解く」は、以下サイトからダウンロードいただけます。
https://www.paloaltonetworks.jp/resources/whitepapers/supply-chain-risk-whitepaper-2022

調査概要
● 実施時期：2022年5月13日～17日
● 調査対象者：民間企業、官公庁、自治体、その他団体でセキュリティに関する決裁権と意思決定権の両方あるいはいずれかをもつ責任者709名

（*1）https://www.ipa.go.jp/security/vuln/10threats2022.html
サプライチェーンリスクジャパンレポート2022 インフォグラフィックス

パロアルトネットワークス株式会社について
パロアルトネットワークスは、サイバーセキュリティのグローバルリーダーです。企業や組織が安心してテクノロジを活用できるよう、サイバー脅威を克服するための技術革新に努め、世界中のあらゆる業界の何千ものお客様に、次世代サイバーセキュリティを提供しています。最高クラスのサイバーセキュリティプラットフォームとサービスは、業界をリードする脅威インテリジェンスに支えられ、最先端の自動化によって強化されています。ゼロトラストエンタープライズの実現に向けた製品の導入や、セキュリティインシデントの対応、ワールドクラスのパートナーエコシステムを通じたより良いセキュリティ成果の提供などにより、毎日をより安全なものにするための支援に取り組んでいます。それが、パロアルトネットワークスがサイバーセキュリティのパートナーとして選ばれる理由です。

パロアルトネットワークスでは、ミッションの実現に向けて最高の人材を集めることに尽力しており、Newsweek誌の「最も愛される職場」（2021年）、Comparably（職場文化モニタリングプラットフォーム）の「多様性に優れた企業」（2021年）、HRC（ヒューマンライツキャンペーン）の「LGBTQ平等のための最高の場所」（2022年）に選出されています。詳しくは http://www.paloaltonetworks.jp をご覧ください。

※Palo Alto NetworksおよびPalo Alto Networksロゴは米国におけるPalo Alto Networksの登録商標または商標です。本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。また、本書またはその他のプレスリリース公式発表に記述されている未発売のサービス、および機能については、提供開始までご利用いただけません。当初の予定通りに提供開始されない場合や、提供されない場合もあります。パロアルトネットワークスの製品やサービスを購入する際は、既に提供されているサービスや機能を http://www.paloaltonetworks.jp よりご確認ください。